whistleblowing-e-legge-privacy

Aziende interessate e termini di adempimento

Mancano poco meno di due mesi alla deadline del 17 dicembre, termine ultimo per l’adeguamento alla normativa whistleblowing.

Dopo la prima scadenza del 15 luglio, che ha visto le aziende con più di 249 lavoratori dipendenti istituire il canale interno per le segnalazioni whistleblowing, è ora il turno di tutte le altre imprese interessate dalle prescrizioni normative.

Destinatarie dell’obbligo sono quelle organizzazioni che hanno impiegato almeno 50 dipendenti nel corso dell’ultimo anno, quelle che adottano modelli di organizzazione e gestione di cui al D. Lgs. 231/2001 e quelle soggette al rispetto della normativa di derivazione europea indicata nell’Allegato al decreto.

Sanzioni Whistleblowing

Il legislatore ha corredato le prescrizioni normative di un corposo impianto sanzionatorio che prevede multe dai 10.000 ai 50.000 euro per i casi di:

  • mancata predisposizione del canale di segnalazione
  • mancata adozione di procedure per effettuare e gestire le segnalazioni
  • adozione di procedure non idonee a garantire la riservatezza del segnalante
  • individuazione di un soggetto gestore che non abbia le prescritte caratteristiche di autonomia e/o non sia adeguatamente formato
  • inidonea gestione delle segnalazioni e mancato rispetto dei termini di riscontro alle stesse
  • mancato assolvimento dell’obbligo di fornire informazioni chiare circa il canale, le procedure ed i presupposti per effettuare le segnalazioni interne, anche attraverso la pubblicazione delle stesse all’interno del sito internet

Sistema whistleblowing adeguato

Le ingenti sanzioni pecuniarie impongono particolare attenzione nella scelta del canale, nell’individuazione del soggetto gestore e nella definizione delle procedure correlate.

Le informazioni sul come e quando è possibile segnalare devono, infatti, esser disponibili per un’ampia schiera di soggetti potenziali segnalanti, che ricomprende non solo dipendenti e collaboratori, ma anche liberi professionisti e consulenti, tirocinanti e volontari, azionisti, soggetti con funzioni di controllo, vigilanza o rappresentanza, soggetti che hanno cessato il proprio rapporto di lavoro con l’azienda o che si sono limitati a sostenere un colloquio con la stessa.

Garanzie per il whistleblower: riservatezza, riscontro e divieto di ritorsione

Il canale predisposto deve tutelare a pieno il segnalante (whistleblower) fornendo un riscontro tempestivo alle segnalazioni effettuate, assicurando che non ci siano ritorsioni nei suoi confronti e tutelando la riservatezza sia della sua persona, che quella del contenuto delle sue dichiarazioni e dei soggetti da lui menzionati.

Tutele che devono essere effettive, e non meramente formali.

In assenza di garanzie, infatti, il segnalante potrebbe decidere di utilizzare il canale whistleblowing “esterno” predisposto dall’ANAC ed azionabile in casi tassativi: quando non è attivo un canale di segnalazione interno obbligatorio o quando questo non sia conforme ai dettati normativi, quando non viene fornito riscontro alla segnalazione effettuata o quando si ritiene ragionevolmente che la stessa non avrebbe seguito, quando il segnalante ha fondato motivo di temere una ritorsione.

In tutti questi casi, l’ANAC potrebbe accertare la violazione degli adempimenti prescritti dalla normativa whistleblowing ed azionare un procedimento sanzionatorio nei confronti dell’azienda che ha contravvenuto gli obblighi normativi, con potenziale comminazione di una sanzione pecuniaria dai diecimila ai cinquantamila euro.

Obbligo informativo whistleblowing

Particolare attenzione va prestata allo specifico obbligo informativo previso dall’Art. 5, co. 1, lett. e) del D. Lgs. 24/2023.

I soggetti che intrattengono un rapporto rilevante con l’azienda devono essere messi a conoscenza di una procedura che indichi le modalità con le quali è possibile effettuare una segnalazione interna o esterna, i presupposti di segnalazione (cosa può esser segnalato ed eventuali responsabilità), il soggetto deputato alla gestione delle segnalazioni, le garanzie di riservatezza e le tutele assicurate al segnalante. Tali informazioni devono esser complete ed esposte in modo da esser facilmente accessibili, tanto nei luoghi di lavoro quanto in una sezione ad-hoc sul sito internet del Titolare.

Il whistleblower deve, altresì, esser informato circa le misure di protezione che la normativa prevede a tutela della sua persona, ivi compreso il divieto di ritorsione, i casi di limitazione di responsabilità e le misure di sostegno assicurate.

Whistleblowing e Privacy: tutte le implicazioni

La predisposizione di un sistema whistleblowing ha inevitabili ripercussioni sul piano della legge privacy e della protezione dei dati personali.

Indispensabile è la predisposizione di un’informativa whistleblowing specifica, che fornisca agli Interessati tutte le informazioni circa il trattamento dei propri dati personali conformemente alle prescrizioni di cui agli Artt. 12ss del Regolamento Europeo sulla Protezione dei dati personali (d’ora in avanti GDPR).

Sì, perché tutte le operazioni connesse alla gestione delle segnalazioni whistleblowing comportano un trattamento di dati personali che deve esser conforme ai dettami del GDPR. Occorrerà, quindi, aggiornare il registro dei trattamenti del Titolare al fine di contemplare tale nuova attività, procedere ad una valutazione volta ad assicurare che lo stesso sia conforme ai princìpi fondamentali in materia di trattamento di dati personali e predisporre idonee misure di sicurezza tecnico-organizzative che assicurino una sufficiente mitigazione dei rischi.

È indispensabile che tale valutazione sia approfondita in quanto il legislatore italiano, in considerazione del carattere particolarmente delicato della questione, ha previsto l’obbligo di effettuare una Data Protection Impact Assessment (DPIA) specifica per il trattamento di dati connesso alle segnalazioni whistleblowing.

Ulteriore onere è quello di provvedere ad elaborare specifici atti di nomina dei soggetti cui è demandata la gestione del canale di segnalazione e degli eventuali intermediari tecnici fornitori di infrastrutture informatiche e software.

A chi affidare la gestione del canale?

Questione centrale è individuare un soggetto in grado di gestire adeguatamente il canale di segnalazione e di fornire un opportuno riscontro alle segnalazioni ricevute. È indispensabile agire con prudenza nell’affidare questo compito.

La normativa indica che può trattarsi di un soggetto interno o esterno all’ente, a patto che soddisfi due requisiti fondamentali: che sia autonomo e che sia specificamente formato.

L’autonomia decisionale è richiesta a garanzia della credibilità di una funzione che ha l’obbligo di assicurare la riservatezza del whistleblower, del contenuto della segnalazione e di tutti i soggetti coinvolti. Le decisioni non devono esser influenzate da soggetti esterni; le segnalazioni devono esser trattate in modo imparziale, etico e senza svelare le informazioni acquisite ad alcun soggetto che non sia legittimato a conoscerle, anche se si trattasse di richieste provenienti da soggetti apicali dell’organizzazione.

Vanno, quindi, esclusi coloro che si trovino in evidente condizione di conflitto di interesse o la cui terzietà non sia credibile agli occhi del potenziale whistleblower. Tanto equivarrebbe ad una violazione dell’obbligo sostanziale imposto dalla normativa whistleblowing.

Altro requisito imprescindibile è quello della formazione e delle competenze specifiche che deve possedere il soggetto gestore. Trattare correttamente una segnalazione significa fornire gli opportuni riscontri nei termini previsti, analizzarne la fondatezza, richiedere l’integrazione delle informazioni ricevute, procedere all’audizione di terze persone informate (senza compromettere la riservatezza del whistleblower), disporre l’archiviazione nei casi di manifesta infondatezza o attivarsi per interpellare i soggetti interni/esterni competenti.

Una conoscenza approfondita degli obblighi normativi rappresenta, quindi, un presupposto imprescindibile per valutare l’adeguatezza del gestore. È per questo che si rende necessario affidare l’incarico a soggetti, interni o esterni, che siano qualificati.

Quale canale predisporre?

L’art. 4 del D. Lgs. 24/2023, cd. Decreto Whistleblowing, impone al Titolare che il canale assicuri la riservatezza del segnalante, della segnalazione e dei soggetti coinvolti, anche tramite il ricorso a strumenti di crittografia.

Per espressa indicazione dell’ANAC, la casella di posta elettronica e la mail non sono strumenti idonei a prestare le garanzie di riservatezza dovute al whistleblower.

Al segnalante devono esser consentite diverse modalità di segnalazione, in forma scritta ed in forma orale, anche mediante un incontro personale o attraverso una linea telefonica registrata.

L’opzione più sicura è quella che prevede l’implementazione di una piattaforma software ad-hoc, che consenta differenti modalità di segnalazione ed attraverso la quale può esser salvaguardata la riservatezza del segnalante.

Il mercato offre numerosi software di segnalazione whistleblowing, ma occorre fare attenzione. La piattaforma deve esser conforme a determinati standard di sicurezza ed assicurare adeguate garanzie per far sì che la tutela sia effettiva, e non meramente formale. L’implementazione della crittografia e l’inaccessibilità ai dati del segnalante (anche ai metadati) da parte di qualsiasi soggetto che non sia il gestore del canale, sono solo due dei requisiti tecnici imprescindibili di cui verificare la sussistenza.

È indispensabile un’attenta ponderazione della conformità del software whistleblowing ai dettami normativi, ivi compresa una verifica della compliance alla normativa in materia di privacy e protezione dei dati personali. A tanto consegue sia la qualificazione delle posizioni in relazione alla Titolarità dei dati, sia la predisposizione di adeguate informazioni sul trattamento dei dati personali da fornire in questo contesto.

Conclusione

Implementare un canale whistleblowing richiede di prestare attenzione a molteplici aspetti, che vanno dalle scelte di tipo tecnico, al rispetto del dettato normativo, fino alle implicazioni derivanti dalle interconnessioni con altri settori, come la normativa  privacy o la responsabilità amministrativa degli enti ex D.lgs. 231/2001.

Predisporre canali “fai da te”, attraverso modalità di segnalazioni non idonee ed attribuendo la gestione delle segnalazioni a soggetti non competenti, è una scelta che rischia di rivelarsi superficiale ed esporre l’azienda al rischio di (sostanziose) sanzioni pecuniarie.

 

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!